İçindekiler:
Video: NFS(2049) Servisinden Sunucu Dosyalarına Ulaşmak ve Güvenliği 2024
Linux'ta Ağ Dosya Sistemi (NFS), yerel makinadan uzaktaki dosya sistemlerini (Windows'daki paylaşımlara benzer şekilde) monte etmek için kullanılır. Hackerlar bu uzaktaki sistemleri seviyorlar! NFS'nin uzaktan erişim niteliği göz önüne alındığında, kesinlikle erişim kesintisine uğradı.
NFS saldırıları
NFS hatalı kurulmuşsa veya yapılandırması bozulmuşsa - yani dünyanın tüm dosya sistemini okumasına izin veren bir ayarı içeren / etc / exports dosyası - uzaktan bilgisayar korsanları kolayca uzaktan erişebilirler sistem üzerinde istedikleri her şeye erişebilir ve bunları yapabilir. Hiçbir erişim kontrol listesi (ACL) bulunduğunu farz edersek, / etc / exports dosyasında aşağıdakiler gibi bir satır yeterlidir:
/ rw
Bu satır, herkesin kök bölümünü okuma-yazma biçiminde uzaktan monte edebileceğini söylüyor. Şüphesiz, aşağıdaki koşullar da doğru olmalıdır:
-
NFS'yi da (NFSs) ve NFS'yi RPC'ye eşleyecek olan portmap daemon'u yüklenmelidir.
-
Güvenlik duvarı, üzerinden NFS trafiğine izin vermelidir.
-
NFS arka plan programını çalıştıran sunucuya izin verilen uzaktaki sistemler / etc / hosts içine yerleştirilmelidir. izin dosyası.
Bu uzaktan takma özelliği yanlış yapılandırmak kolaydır. Genellikle bir Linux yöneticisinin, NFS bağlarını paylaşması ve çalışmasını sağlamak için mümkün olan en kolay yola başvurmak için ne gerektiği konusunda yanlış anlama ile ilgisi vardır. Bilgisayar korsanları uzaktan eriştikten sonra sistem kendi sistemindir.
NFS saldırılarına karşı önlemler
NFS saldırılarına karşı en iyi savunma, hizmetin gerçekten çalışıp çalışmadığına bağlıdır.
-
NFS'ye ihtiyacınız yoksa, devre dışı bırakın.
-
NFS'ye ihtiyacınız varsa, aşağıdaki önlemleri uygulayın:
-
Güvenlik duvarındaki NFS trafiğini filtrele - tüm RPC trafiğini filtrelemek isterseniz, tipik olarak TCP port 111 (portmapper portu).
-
Belirli ana makinelere erişimi sınırlamak için ağ ACL'leri ekleyin.
-
/ etc / exports ve / etc / hosts olduğundan emin olun. izin verilen dosyalar, dünyayı şebekenizin dışında tutmak için düzgün bir şekilde yapılandırılmıştır.
-
